Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure OpenAI ondersteunt op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC), een autorisatiesysteem voor het beheren van afzonderlijke toegang tot Azure-resources. Met Azure RBAC wijst u verschillende teamleden verschillende machtigingsniveaus toe op basis van hun behoeften voor een bepaald project. Zie de Documentatie voor Azure RBAC voor meer informatie.
Roltoewijzing toevoegen aan een Azure OpenAI-resource
Azure RBAC kan worden toegewezen aan een Azure OpenAI-resource. Als u toegang wilt verlenen tot een Azure-resource, voegt u een roltoewijzing toe.
In the Azure portal, search for Azure OpenAI.
Select Azure OpenAI, and navigate to your specific resource.
Note
U kunt Azure RBAC ook instellen voor hele resourcegroepen, abonnementen of beheergroepen. Doe dit door het gewenste bereikniveau te selecteren en vervolgens naar het gewenste item te navigeren. For example, selecting Resource groups and then navigating to a specific resource group.
Selecteer Toegangsbeheer (IAM) in het linkerdeelvenster.
Select Add, then select Add role assignment.
On the Role tab on the next screen, select a role you want to add.
On the Members tab, select a user, group, service principal, or managed identity.
Selecteer op het tabblad Beoordelen en toewijzen de optie Beoordelen en toewijzen om de rol toe te wijzen.
Binnen een paar minuten wordt de geselecteerde rol toegewezen aan het geselecteerde toepassingsgebied. Zie Azure-rollen toewijzen met behulp van Azure Portal voor hulp bij deze stappen.
Azure OpenAI-rollen
- Cognitive Services OpenAI-gebruiker
- Cognitive Services OpenAI-inzender
- Cognitive Services-bijdrager
- Lezer voor Cognitive Services-gebruik
Note
Subscription level Owner and Contributor roles are inherited and take priority over the custom Azure OpenAI roles applied at the Resource Group level.
In deze sectie worden algemene taken behandeld die verschillende accounts en combinaties van accounts kunnen uitvoeren voor Azure OpenAI-resources. To view the full list of available Actions and DataActions, an individual role is granted from your Azure OpenAI resource go Access control (IAM)>Roles> Under the Details column for the role you're interested in select View. By default the Actions radial button is selected. You need to examine both Actions and DataActions to understand the full scope of capabilities assigned to a role.
Cognitive Services OpenAI-gebruiker
Als aan een gebruiker alleen op rollen gebaseerde toegang tot deze rol is verleend voor een Azure OpenAI-resource, kunnen ze de volgende algemene taken uitvoeren:
✅ View the resource in Azure portal
✅ Het resource-eindpunt weergeven onder Sleutels en Eindpunt
✅ Mogelijkheid om de resource en de bijbehorende modelimplementaties weer te geven in de Azure AI Foundry-portal.
✅ Mogelijkheid om te bekijken welke modellen beschikbaar zijn voor implementatie in de Azure AI Foundry-portal.
✅ Gebruik de functies Chat, Voltooiingen en DALL-E (preview) voor het genereren van tekst en afbeeldingen met alle modellen die al zijn geïmplementeerd in deze Azure OpenAI-resource.
✅ Inferentie-API-aanroepen maken met Microsoft Entra ID.
Een gebruiker waaraan alleen deze rol is toegewezen, kan het volgende niet:
❌ Nieuwe Azure OpenAI-resources maken
❌ Sleutels onder Sleutels en eindpunt weergeven/kopiëren/opnieuw genereren
❌ Nieuwe modelimplementaties maken of bestaande modelimplementaties bewerken
❌ Aangepaste aangepaste modellen maken/implementeren
❌ Gegevenssets uploaden voor het afstemmen
❌ Opgeslagen voltooiingsgegevens weergeven, opvragen, filteren
❌ Toegangsquotum
❌ Aangepaste inhoudsfilters maken
Cognitive Services OpenAI-bijdrager
Deze rol heeft alle machtigingen van Cognitive Services OpenAI-gebruiker en kan ook aanvullende taken uitvoeren, zoals:
✅ Aangepaste modellen maken
✅ Gegevenssets uploaden voor het afstemmen
✅ Opgeslagen voltooiingsgegevens weergeven, opvragen, filteren
✅ Nieuwe modelimplementaties maken of bestaande modelimplementaties bewerken [Herfst 2023 toegevoegd]
✅ Toegang verlenen tot de Api voor assistenten
✅ Voeg gegevensbronnen toe aan Azure OpenAI met uw gegevens.
Een gebruiker waaraan alleen deze rol is toegewezen, kan het volgende niet:
❌ Nieuwe Azure OpenAI-resources maken
❌ Sleutels onder Sleutels en eindpunt weergeven/kopiëren/opnieuw genereren
❌ Toegangsquotum
❌ Aangepaste inhoudsfilters maken
Cognitive Services-bijdrager
Wordt deze rol doorgaans op resourcegroepniveau verleend aan een gebruiker, samen met aanvullende rollen. Met deze rol kan een gebruiker de volgende taken uitvoeren.
✅ Maak nieuwe Azure OpenAI-resources binnen de toegewezen resourcegroep.
✅ View resources in the assigned resource group in the Azure portal.
✅ Het resource-eindpunt weergeven onder Sleutels en Eindpunt
✅ Sleutels onder Sleutels en eindpunt weergeven/kopiëren/opnieuw genereren
✅ Mogelijkheid om te bekijken welke modellen beschikbaar zijn voor implementatie in de Azure AI Foundry-portal
✅ De functies Chat, Voltooiingen en DALL-E (preview) gebruiken om tekst en afbeeldingen te genereren met alle modellen die al zijn geïmplementeerd in deze Azure OpenAI-resource
✅ Aangepaste inhoudsfilters maken
✅ Voeg gegevensbronnen toe aan Azure OpenAI met uw gegevens.
✅ Nieuwe modelimplementaties maken of bestaande modelimplementaties bewerken (via API)
✅ Aangepaste modellen maken [Toegevoegd herfst 2023]
✅ Gegevenssets uploaden voor fijnafstemming [Toegevoegd herfst 2023]
✅ Nieuwe modelimplementaties maken of bestaande modelimplementaties bewerken (via Azure AI Foundry) [Fall 2023 toegevoegd]
✅ Opgeslagen voltooiingsgegevens weergeven, opvragen, filteren
Een gebruiker waaraan alleen deze rol is toegewezen, kan het volgende niet:
❌ Toegangsquotum
❌ Inferentie-API-aanroepen maken met Microsoft Entra ID.
Lezer voor Cognitive Services-gebruik
Voor het weergeven van de quota is de rol Cognitive Services Usages Reader vereist. Deze rol biedt de minimale toegang die nodig is om het quotumgebruik voor een Azure-abonnement weer te geven.
This role can be found in the Azure portal under Subscriptions> *Access control (IAM)>Add role assignment> search for Cognitive Services Usages Reader. De rol moet worden toegepast op abonnementsniveau, deze bestaat niet op resourceniveau.
If you don't wish to use this role, the subscription Reader role provides equivalent access, but it also grants read access beyond the scope of what is needed for viewing quota. Modelimplementatie via de Azure AI Foundry-portal is ook gedeeltelijk afhankelijk van de aanwezigheid van deze rol.
Deze rol biedt weinig waarde op zichzelf en wordt meestal toegewezen in combinatie met een of meer van de eerder beschreven rollen.
Lezer voor Gebruik van Cognitieve Services + OpenAI-gebruiker van Cognitieve Services
Alle mogelijkheden van Cognitive Services OpenAI-gebruiker plus de mogelijkheid om:
✅ Quotumtoewijzingen weergeven in de Azure AI Foundry-portal
Lezer van gebruiksstatistieken van Cognitive Services + OpenAI bijdrager aan Cognitive Services
Alle mogelijkheden van Cognitive Services OpenAI-inzender plus de mogelijkheid om:
✅ Quotumtoewijzingen weergeven in de Azure AI Foundry-portal
Lezer van Gebruik van Cognitieve Services + Bijdrager aan Cognitieve Services
Alle mogelijkheden van Cognitive Services-inzender plus de mogelijkheid om:
✅ Quotatoewijzingen weergeven en bewerken in de Azure AI Foundry-portal
✅ Nieuwe modelimplementaties maken of bestaande modelimplementaties bewerken (via Azure AI Foundry)
Summary
| Permissions | Cognitive Services OpenAI-gebruiker | Cognitive Services OpenAI-bijdrager | Cognitive Services-bijdrager | Lezer voor Cognitive Services-gebruik |
|---|---|---|---|---|
| De resource weergeven in Azure Portal | ✅ | ✅ | ✅ | ➖ |
| Het resource-eindpunt weergeven onder Sleutels en eindpunt | ✅ | ✅ | ✅ | ➖ |
| Bekijk de resource en de bijbehorende modelimplementaties in de Azure AI Foundry-portal | ✅ | ✅ | ✅ | ➖ |
| Bekijken welke modellen beschikbaar zijn voor implementatie in de Azure AI Foundry-portal | ✅ | ✅ | ✅ | ➖ |
| Gebruik de Chat-, Voltooiingen- en DALL-E (preview) playground-ervaringen met alle modellen die al in deze Azure OpenAI-bron zijn geïmplementeerd. | ✅ | ✅ | ✅ | ➖ |
| Modelimplementaties maken of bewerken | ❌ | ✅ | ✅ | ➖ |
| Aangepaste fijn afgestelde modellen maken of implementeren | ❌ | ✅ | ✅ | ➖ |
| Gegevenssets uploaden voor het afstemmen | ❌ | ✅ | ✅ | ➖ |
| Opgeslagen competitiedata weergeven, opvragen, filteren | ❌ | ✅ | ✅ | ➖ |
| Nieuwe Azure OpenAI-resources maken | ❌ | ❌ | ✅ | ➖ |
| Sleutels weergeven/kopiëren/opnieuw genereren onder Sleutels en eindpunt | ❌ | ❌ | ✅ | ➖ |
| Aangepaste inhoudsfilters maken | ❌ | ❌ | ✅ | ➖ |
| Een gegevensbron toevoegen voor de functie "op uw gegevens" | ✅ | ✅ | ✅ | ➖ |
| Access quota | ❌ | ❌ | ❌ | ✅ |
| Inferentie-API-aanroepen maken met Microsoft Entra ID | ✅ | ✅ | ❌ | ➖ |
Common Issues
Kan de optie Azure Cognitive Search niet weergeven in de Azure AI Foundry-portal
Issue:
Wanneer u een bestaande Azure Cognitive Search-resource selecteert, worden de zoekindexen niet geladen en draait het laadwiel continu. Ga in de Azure AI Foundry-portal naar Playground Chat>En voeg uw gegevens (preview) toe onder De configuratie van assistent. Als u Een gegevensbron toevoegen selecteert, wordt een modale gegevensbron geopend waarmee u een gegevensbron kunt toevoegen via Azure Cognitive Search of Blob Storage. Door de optie Azure Cognitive Search te selecteren en een bestaande Azure Cognitive Search-bron, zullen de beschikbare Azure Cognitive Search-indexen worden geladen waaruit u kunt kiezen.
Root cause
Als u een algemene API-aanroep wilt maken om Azure Cognitive Search-service s weer te geven, wordt de volgende aanroep uitgevoerd:
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview
Vervang {subscriptionId} door uw werkelijke abonnements-id.
For this API call, you need a subscription-level scope role. You can use the Reader role for read-only access or the Contributor role for read-write access. Als u alleen toegang nodig hebt tot Azure Cognitive Search-service s, kunt u de rollen Azure Cognitive Search Service-inzender of Azure Cognitive Search Service Reader gebruiken.
Solution options
Neem contact op met uw abonnementsbeheerder of eigenaar: neem contact op met de persoon die uw Azure-abonnement beheert en vraag de juiste toegang aan. Geef uw vereisten op en de specifieke rol die u nodig hebt (bijvoorbeeld Reader, Contributor, Azure Cognitive Search Service Contributor of Azure Cognitive Search Service Reader).
Toegang op abonnementsniveau of resourcegroepniveau aanvragen: als u toegang nodig hebt tot specifieke resources, vraagt u de eigenaar van het abonnement om u toegang te verlenen op het juiste niveau (abonnement of resourcegroep). Hiermee kunt u de vereiste taken uitvoeren zonder toegang te hebben tot niet-gerelateerde resources.
API-sleutels gebruiken voor Azure Cognitive Search: als u alleen hoeft te communiceren met de Azure Cognitive Search-service, kunt u de beheerderssleutels of querysleutels aanvragen bij de eigenaar van het abonnement. Met deze sleutels kunt u API-aanroepen rechtstreeks naar de zoekservice uitvoeren zonder dat u een Azure RBAC-rol nodig hebt. Keep in mind that using API keys will bypass the Azure RBAC access control, so use them cautiously and follow security best practices.
Kan geen bestanden uploaden in de Azure AI Foundry-portal voor uw gegevens
Symptom: Unable to access storage for the on your data feature using Azure AI Foundry.
Root cause:
Onvoldoende toegang op abonnementsniveau voor gebruikers die toegang proberen te krijgen tot de blobopslag in de Azure AI Foundry-portal. The user may not have the necessary permissions to call the Azure Management API endpoint: https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01
Openbare toegang tot de blobopslag wordt uitgeschakeld door de eigenaar van het Azure-abonnement om veiligheidsredenen.
Machtigingen die nodig zijn voor de API-aanroep: **Microsoft.Storage/storageAccounts/listAccountSas/action:** met deze machtiging kan de gebruiker de SAS-tokens (Shared Access Signature) voor het opgegeven opslagaccount weergeven.
Possible reasons why the user may not have permissions:
- De gebruiker krijgt een beperkte rol toegewezen in het Azure-abonnement. Deze bevat niet de benodigde machtigingen voor de API-aanroep.
- De rol van de gebruiker is beperkt door de eigenaar of beheerder van het abonnement vanwege beveiligingsproblemen of organisatiebeleid.
- De rol van de gebruiker is onlangs gewijzigd en de nieuwe rol verleent de vereiste machtigingen niet.
Solution options
- Toegangsrechten verifiëren en bijwerken: zorg ervoor dat de gebruiker de juiste toegang op abonnementsniveau heeft, inclusief de benodigde machtigingen voor de API-aanroep (Microsoft.Storage/storageAccounts/listAccountSas/action). Indien nodig vraagt u de eigenaar van het abonnement of de beheerder om de benodigde toegangsrechten te verlenen.
- Vraag om hulp van de eigenaar of beheerder: als de bovenstaande oplossing niet haalbaar is, kunt u de eigenaar of beheerder van het abonnement vragen om de gegevensbestanden namens u te uploaden. This approach can help import the data into Azure AI Foundry without user requiring subscription-level access or public access to the blob storage.